Hallo,
am Wochenende musste ich alles ausschalten, da die Stromversorgung für einige Stunden gekappt wurde. Danach hatte ich wie auch schon in vorherigen Situationen das Problem mit dem Start des DC, der die FSMO-Rollen hält. Das war bis vor einigen Monaten ein
Windows Server 2003 R2 und nun ein Windows Server 2008 R2.
Ich habe diesmal zuerst den Proxyserver gestartet, der als Standardgateway eingetragen ist. Nicht das dies wichtig ist, half aber auch nicht.
Ich versuche mal die wichtigsten Events aufzuzählen (aus den Events System, Verzeichnisdienst, DNS-Server und Anwendung):
13:08:18 Betriebssystem gestartet.
13:08:28 DHCPv4/v6-Clientdienst wird gestartet.
13:09:01 AD_DomainService: ID 2087, Konnte DNS-Hostname nt-server (mein zweiter DC!) nicht auflösen.
13:09:04 GroupPolicy: Fehler beim Verarbeiten der Gruppenrichtlinie.
13:09:06 VSS: ID 8193, Volumenschattenkopie-Dienstfehler. Zugriff verweigert. Generatorname: System Writer
13:09:12 DNS Server: Wartet darauf das von Domänendiensten angezeigt wird dass die Erstsynchronisierung des Verzeichnisses durchgeführt wurde. DNS-Dienst kann erst nach der Erstsynchronisierung gestartet werden. Kommt dann im zwei Minuten
Abstand bis 13:23:14 dieser Vorgang klappt.
13:09:19 DfsSvc: Gesamtstrukturübergreifenden Vertrauensstellungsinformationen auf dem DC nicht initialisieren.
13:09:19 DNS Client Events: Namensauflösung für den Namen _ldap._tcp.Stadt.:sites.dc._msdcs.firma.loc fehlgeschlagen, nachdem keiner der konfigurierten DNS-Server geantwortet hat.
13:09:22 AD_DomainService: ID 2087, Konnte DNS-Hostname nt-server-2 (mein dritter DC!) nicht auflösen.
13:09:40 DNS Client Events: zeitüberschreitung bei Namensauflösung firma.loc. Kein DNS-Server antwortet.
13:09:46 AD_DS: ID 2092, Server ist Besitzer der folgenden FSMO-Rolle, die jedoch nicht als gültig eingestuft wird. Wurde seit dem letzten Neustart nicht erfolgreich mit einem beliebigen Partner repliziert.
13:10:04 DHCP-Server: Konnte kein Verzeichnisserver für die Autorisierung finden.
13:14:54 NETLOGON: ID 5781, Dynamische Registrierung von DNS-EInträgen gescheitert.
13:23:13 AD_DS: Alle Probleme, die Aktualisierungen der AD-Domänen-Datenbank verhinderten, wurden behoben.
13:23:14 DNS-Server: Der DNS-Server wurde gestartet.
13:23:18 GroupPolicy: Benutzereinstellungen erfolgreich verarbeitet.
13:24:25 GroupPolicy: Computereinstellungen erfolgreich verarbeitet.
13:32:41 Winlogon: Benutzerabmeldung
13:37:xx Neustart
Nachdem ich mich am Server anmelden konnte, habe ich die zwei anderen DCs gestartet.
Wie müsste ich den DC konfigurieren, der alle FSMO-Rollen hält, wenn ich diesen als alleinigen Server einschalten muss. Ich hatte dort nur ihn selbst als DNS-Server eingetragen, weil ich mir gedacht habe, wenn noch kein weiterer DC an ist, der als DNS fungiert,
versucht er es mit sich selbst, erkannt das da kein DNS läuft und wechselt dann auf den nächsten eingetragenen DNS-Server, der aber genauso wenig läuft. Tja...
Wie sollte man bei drei DCs die DNS-Server eintragen? Das Problem mit "DNS becomes a island" war IMHO ja mal bei W2k akut.
Also wie bitte? Z.b. sich selbst als ersten DNS-Server und die anderen beiden dann im Anschluss.
Nur was tun, wenn man den allerersten DC startet? Da ist kein DNS am laufen und das läuft erst, wenn AD startet. Das startet aber erst, wenn der DNS-Server startet. =:-}
Bei Tests mit einem einzigen DC hatte ich nicht solche Probleme wie jetzt mit drei DCs wenn keiner an ist und ich den ersten Starten möchte.
Wobei ich jetzt noch sagen muss das ich beim vorletzten Patchday ein Crash hatte und erst nach einigen Neustarts das AD lief. Es kam die Meldung "Computereinstellungen werden geladen" oder so und dann verlor ich nach 10 Minuten die Nerven, da auch
ein Ping auf den Server nicht mehr klappte. Nach Aus/Einschalten konnte ich mich irgendwann anmelden und stellte fest das die Firewall alles dicht gemacht hat, da es sich in einem öffentlichen Netzwerk wähnte. AD lief nicht. Nach weiteren Neustarts kam es
irgendwann zu einem synchronisieren des AD von einem anderen DC. DCDIAG zeigte später keine Fehler mehr.
Da hatte ich aber nur den eigenen DNS-Server eingetragen, nicht die beiden anderen. Das habe ich nach obigen Event mittlerweile geändert. Ich habe auch IPv6 mittlerweile wieder eingeschaltet, aber dort nichts eingetragen. Vielleicht braucht Windows Server
2008 R2 IPv6? Nutzen im Netzwerk tue ich es nicht.
mfg
